Le fameux correspondant informatique et libertés (CIL) de la loi du même nom, qui avait vocation à faciliter les démarches du responsable de traitement, change de nom sous l’empire du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, et devient désormais le délégué à la protection des données (DPO : Data Protection Officer).
Outre ce changement de nomenclature, le règlement apporte des modifications substantielles à cette institution. Plus développé que sous l’empire de la loi informatique et libertés, qui ne lui consacre qu’un seul et unique article (l’article 22) le règlement lui en consacre désormais trois (articles 37,38 et 39). Dans ces dispositions il faut relever deux changements majeurs.
Le premier changement substantiel du règlement est de modifier les modalités de désignation du délégué à la protection des données et plus précisément de prévoir certains cas de désignation obligatoires (I). Le deuxième élément important qui change est l’élargissement des obligations à la charge du délégué à la protection des données (II)
I) Les modalités de désignation du délégué à la protection des donnée
a) Sur l’obligation de désigner un délégué à la protection des données
Sous l’empire de la loi informatique et libertés, la désignation d’un CIL n’est jamais obligatoire.
Toutefois désigner un CIL présente des avantages certains. Cela permet notamment au responsable de traitement, d’être dispensé d’effectuer des déclarations pour les traitements qu’il souhaite effecteur, de faciliter ses relations avec la Cnil, de participer à la mise en œuvre d’une approche qualité, d’améliorer la sécurité juridique et l’image à l’égard des tiers de l’entreprise. Cela présente aussi des inconvénients tels que la perte de vigilance du responsable de traitement qui aura tendance à se reposer sur son CIL qui pourtant n’assume pas la responsabilité du responsable de traitement. L’autre inconvénient majeur est le coût que représente le CIL car il faut pouvoir supporter son salaire.
La désignation ou non d’un CIL reste donc à la libre appréciation de chaque responsable de traitement qui effectuera une analyse coûts/avantages pour savoir s’il décide ou non d’opter pour la désignation d’un CIL.
Désormais, après d’âpres débat sur le sujet, ce ne sera plus le cas à partir de 2018, puisque le règlement prévoit des cas de désignation obligatoire du DPO. L’article 37 prévoit ainsi qu’un DPO doit être désigné par le responsable de traitement et le sous-traitant dans les cas suivants :
- le traitement est réalisé par une autorité publique, à l’exception des tribunaux ; ou
- l’activité cœur de métier du responsable de traitement ou du sous-traitant requiert le suivi régulier et systématique de données à une large échelle ; ou
- l’activité cœur de métier du responsable ou du sous-traitant consiste à traiter à une large échelle des données sensibles ou relatives à des condamnations ou infractions.
On notera ici que les critères de désignation obligatoire du CIL choisis par le règlement sont volontairement flous, tout du moins pour les deux dernières hypothèses. Le règlement ne précise pas en effet, à partir de quel seuil un responsable de traitement ou un sous-traitant effectue un traitement à grande échelle. Il a voulu laisser le soin au groupe de l’article 29 (réunion des CNIL européennes) de trancher la question. On peut s’interroger sur la pertinence de ces critères alors qu’il avait été question de critères beaucoup plus précis lors des premières propositions du règlement, comme celui d’un certain seuil du nombre de salariés du responsable de traitement. Le choix de tels critères flottant pousse donc d’autant plus, les responsables de traitements, à la prudence dans leurs actions.
Conseils :
- Les établissements tels que par exemple les établissements bancaires, amenés à traiter tous les jours et à actualiser les données de leurs clients doivent logiquement être considérés comme effectuant des traitements de données à caractère personnel avec un suivi régulier et systématique à large échelle. En revanche, aussi grand soient-il, les fichiers clients ne devraient pas, semble-t-il, être considérés comme des traitements réguliers et systématiques à large échelle, car d’une part ceux-ci ne font pas l’objet d’un suivi régulier et systématique, les fichiers clients n’étant généralement mis à jours que par les clients eux-mêmes lors d’une nouvelle commande, et d’autre part car cela ne constitue pas l’activité cœur de métier du responsable de traitement, le traitement de données n’étant ici qu’une activité support de l’activité principale de e-commerçant, à savoir la vente en ligne ;
- Attention, tant le responsable de traitement que le sous-traitant sont concernés par la désignation obligatoire d’un délégué à la protection des données.
b) Sur le choix du délégué à la protection des données
L’article 22 de la loi informatique et libertés dispose que le choix du CIL émane du responsable de traitement et que cette décision est notifiée à la CNIL. Cependant l’article ajoute que le correspondant doit être une personne bénéficiant de certaines qualités requises pour exercer ses missions. Ainsi, Il s’agit donc d’une personne qui a une connaissance réelle de la loi Informatique et libertés et/ou qui a reçu une formation spécifique en la matière.
L’article 46 du décret d’application de la loi Informatique et libertés du 20 octobre 2005 vient donner quelques précisions supplémentaires.
Il précise notamment que ne peuvent pas être désignés comme correspondant, le responsable du traitement ou son représentant légal. De plus, les fonctions ou activités exercées concurremment par le correspondant ne doivent pas générer un conflit d’intérêt avec l’exercice de sa mission. Enfin, lorsque moins de 50 personnes participent à la mise en œuvre du traitement ou y ont accès, l’organisme est libre de désigner un CIL externe. Une convention doit alors régler les aspects techniques, économiques et juridiques de l’exercice de cette mission. Toute personne physique ou morale peut être désignée telle que des prestataires de services, des avocats ou des experts comptables.
Le règlement n’apporte pas de réels changements sur le choix du délégué à la protection des données, l’article 37 précise en effet que le délégué est désigné sur la base de ses qualités professionnelles et, en particulier :
- de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données ;
- de sa capacité à accomplir les tâches qui lui sont confiées ;
- le responsable du traitement ou le sous-traitant doit veiller à ce que ses missions et tâches n’entraînent pas de conflit d’intérêts.
Enfin concernant la désignation d’un délégué à la protection des données externe ou interne, le règlement n’opère pas de distinction en fonction du nombre de salariés du responsable de traitement, il prévoit juste que le délégué à la protection des données peut être indifféremment externe ou interne.
Conseils :
- Il faut dès à présent former et sensibiliser les CIL en place, à la règlementation européenne en matière de protection des données à caractère personnel ;
- Il faut également veiller à ce que le CIL choisi soit compétent, non seulement sur la loi Informatique et libertés, mais également sur la règlementation européenne en matière de protection des données à caractère personnel ;
- Il faut enfin veiller à ce que le CIL choisi soit compétent d’un point juridique mais également technique pour effectuer les nouvelles tâches définies par le règlement européen (voir ci-dessous).
II) L’élargissement des obligations à la charge du délégué à la protection des données
L’article 22 de la loi informatique et libertés dote le CIL de six missions, à savoir :
- formuler les recommandations nécessaires au responsable de traitement ;
- être consulté avant toute mise en œuvre de nouveaux traitements de données ;
- recevoir les réclamations et les requêtes des personnes concernées ;
- informer le responsable de traitement des manquements constatés ;
- établir un bilan annuel d’activité ;
- établir la liste exhaustive des traitements de données à caractère personnel mis en œuvre au sein de l’organisme qui l’a désigné, et tenir cette liste à disposition de la CNIL.
Désormais, le règlement est plus précis sur les obligations du délégué à la protection des données puisque l’article 39 du règlement prévoit que celui-ci doit :
- informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les salariés traitant des données à caractère personnel sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions de l’Union ou de l’État membre concerné en matière de protection des données ;
- contrôler la conformité du règlement à d’autres dispositions de l’Union ou de l’État membre concerné en matière de protection des données ;
- contrôler la conformité du règlement aux règles internes du responsable du traitement ou du sous-traitant en matière de protection des données, et notamment sur les questions de répartition des responsabilités, de formation du personnel et de réalisation d’audits ;
- dispenser des conseils, lorsque cela est demandé, en ce qui concerne l’analyse d’impact et vérifier l’exécution des tâches ;
- coopérer avec l’autorité de contrôle ;
- faire office de point de contact pour l’autorité de contrôle sur les questions liées au traitement de données à caractère personnel, y compris la consultation préalable visée à l’article 34, et consulter celle-ci, le cas échéant, sur tout autre sujet.
Le règlement rajoute que le délégué à la protection des données doit tenir compte dans l’accomplissement de ses missions, du risque associé aux opérations de traitement eu égard à la nature, à la portée, au contexte et aux finalités du traitement.
Conseils :
- Il faut que le délégué à la protection des données forme et sensibilise, les salariés en charge de traiter des données à caractère personnel, sur les problématiques de la règlementation européenne en la matière ;
- Il faut également que le délégué à la protection des données mette en place un suivi de l’analyse d’impact.